Shadow AI: o risco que você não vê — mas que o regulador vai cobrar
Colaboradores usando ChatGPT, Copilot ou Claude com dados de clientes sem aprovação corporativa. É Shadow AI — e é um risco de compliance real.
O que conta como Shadow AI?
Extensões de browser não aprovadas
Plugins como Grammarly, ChatGPT Sidebar ou outros assistentes de escrita leem contexto da aba atual — incluindo dados de clientes abertos no CRM ou ERP.
Apps pessoais com dados corporativos
Colaborador copia contrato de cliente para ChatGPT.com pessoal para "resumir". Dado sai do perímetro corporativo sem registro, sem base legal LGPD.
APIs diretas sem proxy
Desenvolvedor integra OpenAI API no código de produção sem passar pelo gateway corporativo. Zero auditoria, zero política, zero rastreabilidade.
Riscos regulatórios
Medidas de segurança
Exige que o controlador adote medidas técnicas e administrativas aptas a proteger dados pessoais. Shadow AI cria transferência não autorizada sem controles documentados.
Segurança do processamento
Exige medidas técnicas e organizacionais adequadas ao risco. O uso de serviços externos não avaliados viola este artigo e pode gerar notificação de incidente obrigatória.
AI literacy
Operadores são responsáveis por garantir que colaboradores tenham competência suficiente para usar IA com segurança. Shadow AI é sintoma direto de lacuna de AI literacy.
Como detectar Shadow AI
Browser Extension SODIX
Detecta extensões de IA não aprovadas instaladas nos browsers corporativos e alerta o time de segurança em tempo real.
Gateway Proxy
Todo tráfego para domínios de IA (openai.com, anthropic.com, etc.) passa pelo SODIX Gateway — tráfego não autorizado é bloqueado e registrado.
Análise de DNS
Monitoramento de queries DNS para provedores de IA conhecidos — identifica uso mesmo quando o tráfego HTTPS não pode ser inspecionado.
Tópicos relacionados
Descubra o nível de Shadow AI da sua empresa
Compare sua exposição com 200+ empresas enterprise no benchmark SODIX 2026.
Ver diagnóstico de Shadow AI